Connettere l'hub di Azure Stack ad Azure tramite Azure ExpressRoute

Questo articolo descrive come connettere una rete virtuale dell'hub di Azure Stack a una rete virtuale di Azure usando una connessione diretta di Microsoft Azure ExpressRoute .

È possibile usare questo articolo come esercitazione e usare gli esempi per configurare lo stesso ambiente di test. In alternativa, è possibile leggere l'articolo come procedura dettagliata che illustra come configurare un ambiente ExpressRoute personalizzato.

Panoramica, presupposti e prerequisiti

Azure ExpressRoute consente di estendere le reti locali nel cloud Microsoft tramite una connessione privata fornita da un provider di connettività. ExpressRoute non è una connessione VPN tramite la rete Internet pubblica.

Per altre informazioni su Azure ExpressRoute, vedere Panoramica di ExpressRoute.

Presupposti

Questo articolo presuppone quanto segue:

• Si ha una conoscenza funzionante di Azure.
• Si ha una conoscenza di base dell'hub di Azure Stack.
• Si ha una conoscenza di base della rete.

Prerequisiti

Per connettere l'hub di Azure Stack e Azure tramite ExpressRoute, è necessario soddisfare i requisiti seguenti:

• Circuito ExpressRoute di cui è stato effettuato il provisioning tramite un provider di connettività.
• Una sottoscrizione di Azure per creare un circuito ExpressRoute e reti virtuali in Azure.
• Router che deve:
  • Supportare le connessioni VPN da sito a sito tra l'interfaccia LAN e il gateway multi-tenant dell'hub di Azure Stack.
  • Supporto per la creazione di più VDF (routing virtuale e inoltro) se nella distribuzione dell'hub di Azure Stack è presente più tenant.
• Router con:
  • Una porta WAN connessa al circuito ExpressRoute.
  • Una porta LAN connessa al gateway multi-tenant dell'hub di Azure Stack.

Architettura di rete ExpressRoute

La figura seguente illustra gli ambienti dell'hub di Azure Stack e di Azure dopo aver completato la configurazione di ExpressRoute usando gli esempi in questo articolo:

La figura seguente illustra come più tenant si connettono dall'infrastruttura dell'hub di Azure Stack tramite il router ExpressRoute ad Azure:

L'esempio riportato in questo articolo usa la stessa architettura multi-tenant illustrata in questo diagramma per connettere l'hub di Azure Stack ad Azure usando il peering privato ExpressRoute. La connessione viene eseguita usando una connessione VPN da sito a sito dal gateway di rete virtuale nell'hub di Azure Stack a un router ExpressRoute.

I passaggi descritti in questo articolo illustrano come creare una connessione end-to-end tra due reti virtuali da due tenant diversi nell'hub di Azure Stack alle reti virtuali corrispondenti in Azure. La configurazione di due tenant è facoltativa; è anche possibile usare questi passaggi per un singolo tenant.

Configurare l'hub di Azure Stack

Per configurare l'ambiente dell'hub di Azure Stack per il primo tenant, seguire questa procedura come guida. Se si configurano più tenant, ripetere questi passaggi:

Nota

Questi passaggi illustrano come creare risorse usando il portale dell'hub di Azure Stack, ma è anche possibile usare PowerShell.

Prima di iniziare

Prima di iniziare a configurare l'hub di Azure Stack, è necessario:

• Distribuzione dell'hub di Azure Stack.
• Un'offerta nell'hub di Azure Stack a cui gli utenti possono sottoscrivere. Per altre informazioni, vedere Panoramica dei servizi, del piano, dell'offerta e della sottoscrizione.

Creare risorse di rete nell'hub di Azure Stack

Usare le procedure seguenti per creare le risorse di rete necessarie nell'hub di Azure Stack per un tenant.

Creare la rete virtuale e la subnet della macchina virtuale

1. Accedere al portale utenti dell'hub di Azure Stack.

2. Nel portale selezionare + Crea una risorsa.

3. In Azure Marketplace selezionare Rete.

4. In Primo piano selezionare Rete virtuale.

5. In Crea rete virtuale immettere i valori mostrati nella tabella seguente nei campi appropriati:

   Campo	Valore
   Nome	Tenant1VNet1
   Spazio degli indirizzi	10.1.0.0/16
   Nome della subnet	Tenant1-Sub1
   Intervallo di indirizzi subnet	10.1.1.0/24

6. Verrà visualizzata la sottoscrizione creata in precedenza nel campo Sottoscrizione . Per i campi rimanenti:

   • In Gruppo di risorse selezionare Crea nuovo per creare un nuovo gruppo di risorse oppure selezionare Usa esistente.
   • Verificare il percorso predefinito.
   • Fare clic su Crea.
   • (Facoltativo) Fare clic su Aggiungi al dashboard.

Creare la subnet del gateway

1. In Rete virtuale selezionare Tenant1VNet1.
2. In Impostazioni selezionare Subnet.
3. Selezionare + Subnet gateway per aggiungere una subnet del gateway alla rete virtuale.
4. Il nome predefinito della subnet è GatewaySubnet. Le subnet del gateway sono un caso speciale e devono usare questo nome per funzionare correttamente.
5. Verificare che l'intervallo di indirizzi sia 10.1.0.0/24.
6. Fare clic su OK per creare la subnet del gateway.

Creare il gateway di rete virtuale

1. Nel portale utenti dell'hub di Azure Stack fare clic su + Crea una risorsa.
2. In Azure Marketplace selezionare Rete.
3. Selezionare Gateway di rete virtuale dall'elenco di risorse di rete.
4. Nel campo Nome immettere GW1.
5. Selezionare Rete virtuale.
6. Selezionare Tenant1VNet1 nell'elenco a discesa.
7. Selezionare Indirizzo IP pubblico, quindi Scegliere l'indirizzo IP pubblico e quindi fare clic su Crea nuovo.
8. Nel campo Nome digitare GW1-PiP e quindi fare clic su OK.
9. Per Tipo VPN deve essere selezionata l'opzione Basato su route per impostazione predefinita. Mantenere questa impostazione.
10. Verificare che la Sottoscrizione e la Località siano corrette. Fare clic su Crea.

Creare il gateway di rete locale

La risorsa gateway di rete locale identifica il gateway remoto all'altra estremità della connessione VPN. Per questo esempio, la fine remota della connessione è la sotto-interfaccia LAN del router ExpressRoute. Per Tenant 1 nel diagramma precedente, l'indirizzo remoto è 10.60.3.255.

1. Accedere al portale utenti dell'hub di Azure Stack e selezionare + Crea una risorsa.

2. In Azure Marketplace selezionare Rete.

3. Selezionare Gateway di rete locale dall'elenco di risorse.

4. Nel campo Nome digitare ER-Router-GW.

5. Per il campo Indirizzo IP , vedere la figura precedente. L'indirizzo IP della sotto-interfaccia LAN del router ExpressRoute per Tenant 1 è 10.60.3.255. Per il proprio ambiente, immettere l'indirizzo IP dell'interfaccia corrispondente del router.

6. Nel campo Spazio indirizzi immettere lo spazio indirizzi delle reti virtuali a cui si vuole connettersi in Azure. Le subnet per tenant 1 sono le seguenti:

   • 192.168.2.0/24 è la rete virtuale hub in Azure.
   • 10.100.0.0/16 è la rete virtuale spoke in Azure.

   Importante

   Questo esempio presuppone l'uso di route statiche per la connessione VPN da sito a sito tra il gateway dell'hub di Azure Stack e il router ExpressRoute.

7. Verificare che la sottoscrizione, il gruppo di risorse e la località siano corrette. Selezionare quindi Crea.

Creare la connessione

1. Nel portale utenti dell'hub di Azure Stack selezionare + Crea una risorsa.
2. In Azure Marketplace selezionare Rete.
3. Selezionare Connessione dall'elenco di risorse.
4. In Informazioni di base scegliere Da sito a sito (IPSec) come tipo di connessione.
5. Selezionare la sottoscrizione, il gruppo di risorse e la località. Fare clic su OK.
6. In Impostazioni selezionare Gateway di rete virtuale e quindi GW1.
7. Selezionare Gateway di rete locale e quindi gateway router ER.
8. Nel campo Nome connessione immettere ConnectToAzure.
9. Nel campo Chiave condivisa (PSK) immettere abc123 e quindi selezionare OK.
10. In Riepilogo selezionare OK.

Ottenere l'indirizzo IP pubblico del gateway di rete virtuale

Dopo aver creato il gateway di rete virtuale, è possibile ottenere l'indirizzo IP pubblico del gateway. Prendere nota di questo indirizzo nel caso in cui sia necessario in un secondo momento per la distribuzione. A seconda della distribuzione, questo indirizzo viene usato come indirizzo IP interno.

1. Nel portale utenti dell'hub di Azure Stack selezionare Tutte le risorse.
2. In Tutte le risorse selezionare il gateway di rete virtuale, ovvero GW1 nell'esempio.
3. In Gateway di rete virtuale selezionare Panoramica nell'elenco delle risorse. In alternativa, è possibile selezionare Proprietà.
4. L'indirizzo IP da prendere nota è elencato in Indirizzo IP pubblico. Per la configurazione di esempio, questo indirizzo è 192.68.102.1.

Creare una macchina virtuale (VM)

Per testare il traffico dei dati tramite la connessione VPN, sono necessarie macchine virtuali per inviare e ricevere dati nella rete virtuale dell'hub di Azure Stack. Creare una macchina virtuale e distribuirla nella subnet vm per la rete virtuale.

1. Nel portale utenti dell'hub di Azure Stack selezionare + Crea una risorsa.

2. In Azure Marketplaceselezionare Calcolo.

3. Nell'elenco delle immagini di macchine virtuali selezionare l'immagine Windows Server 2016 Datacenter Eval.

   Nota

   Se l'immagine usata per questo articolo non è disponibile, chiedere all'operatore dell'hub di Azure Stack di specificare un'immagine diversa di Windows Server.

4. In Crea macchina virtuale selezionare Informazioni di base e quindi digitare VM01 come Nome.

5. Immettere un nome utente e una password validi. Questo account verrà usato per accedere alla macchina virtuale dopo la creazione.

6. Specificare una sottoscrizione, un gruppo di risorse e una località. Selezionare OK.

7. In Scegliere una dimensione selezionare una dimensione della macchina virtuale per questa istanza e quindi selezionare Seleziona.

8. In Impostazioni verificare che:

   • La rete virtuale è Tenant1VNet1.
   • La subnet è impostata su 10.1.1.0/24.

   Usare le impostazioni predefinite e fare clic su OK.

9. In Riepilogo esaminare la configurazione della macchina virtuale e quindi fare clic su OK.

Per aggiungere altri tenant, ripetere i passaggi seguiti in queste sezioni:

• Creare la rete virtuale e la subnet della macchina virtuale
• Creare la subnet del gateway
• Creare il gateway di rete virtuale
• Creare il gateway di rete locale
• Creare la connessione
• Creare una macchina virtuale

Se si usa tenant 2 come esempio, ricordarsi di modificare gli indirizzi IP per evitare sovrapposizioni.

Configurare la macchina virtuale NAT per l'attraversamento del gateway

Importante

Questa sezione riguarda solo le distribuzioni ASDK. Nat non è necessario per le distribuzioni multinodo.

AsDK è indipendente e isolato dalla rete in cui viene distribuito l'host fisico. La rete VIP a cui sono connessi i gateway non è esterna; è nascosto dietro un router che esegue NAT (Network Address Translation).

Il router è l'host ASDK che esegue il ruolo Routing e Servizi di accesso remoto (RRAS). È necessario configurare NAT nell'host ASDK per abilitare la connessione VPN da sito a sito per la connessione in entrambe le estremità.

Configurare NAT

1. Accedere al computer host dell'hub di Azure Stack con l'account amministratore.

2. Eseguire lo script in un'istanza di PowerShell ISE con privilegi elevati. Questo script restituisce l'indirizzo BGPNAT esterno.

   Get-NetNatExternalAddress
   

3. Per configurare NAT, copiare e modificare lo script di PowerShell seguente. Modificare lo script per sostituire e External BGPNAT addressInternal IP address con i valori di esempio seguenti:

   • Per l'indirizzo BGPNAT esterno usare 10.10.0.62
   • Per Indirizzo IP interno usare 192.168.102.1

   Eseguire lo script seguente da un'istanza di PowerShell ISE con privilegi elevati:

   $ExtBgpNat = 'External BGPNAT address'
   $IntBgpNat = 'Internal IP address'
   
   # Designate the external NAT address for the ports that use the IKE authentication.
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 499 `
      -PortEnd 501
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 4499 `
      -PortEnd 4501
   # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 500 `
      -InternalPort 500
   # Configure NAT traversal which uses port 4500 to  establish the complete IPSEC tunnel over NAT devices.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 4500 `
      -InternalPort 4500
   

Configura Azure

Al termine della configurazione dell'hub di Azure Stack, è possibile distribuire le risorse di Azure. La figura seguente illustra un esempio di rete virtuale tenant in Azure. È possibile usare qualsiasi nome e schema di indirizzamento per la rete virtuale in Azure. Tuttavia, l'intervallo di indirizzi delle reti virtuali in Azure e nell'hub di Azure Stack deve essere univoco e non deve sovrapporsi:

Le risorse distribuite in Azure sono simili alle risorse distribuite nell'hub di Azure Stack. I componenti seguenti vengono distribuiti:

• Reti virtuali e subnet
• Una subnet del gateway
• Un gateway di rete virtuale
• Una connessione
• Un circuito ExpressRoute

L'infrastruttura di rete di Azure di esempio è configurata come segue:

• Un hub standard (192.168.2.0/24) e spoke (10.100.0.0./16) rete virtuale. Per altre informazioni sulla topologia di rete hub-spoke, vedere Implementare una topologia di rete hub-spoke in Azure.
• I carichi di lavoro vengono distribuiti nella rete virtuale spoke e il circuito ExpressRoute è connesso alla rete virtuale dell'hub.
• Le due reti virtuali sono connesse usando il peering reti virtuali.

Configurare le reti virtuali di Azure

1. Accedere al portale di Azure con le credenziali di Azure.
2. Creare la rete virtuale dell'hub usando l'intervallo di indirizzi 192.168.2.0/24.
3. Creare una subnet usando l'intervallo di indirizzi 192.168.2.0/25 e aggiungere una subnet del gateway usando l'intervallo di indirizzi 192.168.2.128/27.
4. Creare la rete virtuale spoke e la subnet usando l'intervallo di indirizzi 10.100.0.0/16.

Per altre informazioni sulla creazione di reti virtuali in Azure, vedere Creare una rete virtuale.

Configurare un circuito ExpressRoute

1. Esaminare i prerequisiti di ExpressRoute in ExpressRoute prerequisiti & elenco di controllo.

2. Seguire la procedura descritta in Creare e modificare un circuito ExpressRoute per creare un circuito ExpressRoute usando la sottoscrizione di Azure.

   Nota

   Assegnare la chiave di servizio per il circuito al servizio in modo che possano configurare il circuito ExpressRoute alla fine.

3. Seguire la procedura descritta in Creare e modificare il peering per un circuito ExpressRoute per configurare il peering privato nel circuito ExpressRoute.

Creare il gateway di rete virtuale

Seguire la procedura descritta in Configurare un gateway di rete virtuale per ExpressRoute usando PowerShell per creare un gateway di rete virtuale per ExpressRoute nella rete virtuale hub.

Creare la connessione

Per collegare il circuito ExpressRoute alla rete virtuale dell'hub, seguire questa procedura in Connettere una rete virtuale a un circuito ExpressRoute.

Eseguire il peering delle reti virtuali

Eseguire il peering tra reti virtuali hub e spoke usando la procedura descritta in Creare un peering di rete virtuale usando la portale di Azure. Quando si configura il peering reti virtuali, assicurarsi di usare le opzioni seguenti:

• Dall'hub al spoke consentire il transito del gateway.
• Dall'spoke all'hub usare il gateway remoto.

Creare una macchina virtuale

Distribuire le macchine virtuali del carico di lavoro nella rete virtuale spoke.

Ripetere questi passaggi per tutte le reti virtuali tenant aggiuntive che si desidera connettere in Azure tramite i rispettivi circuiti ExpressRoute.

Configurare il router

È possibile usare il diagramma di configurazione del router ExpressRoute seguente come guida per configurare il router ExpressRoute. Questa figura mostra due tenant (Tenant 1 e Tenant 2) con i rispettivi circuiti ExpressRoute. Ogni tenant è collegato al proprio VRF (Routing virtuale e inoltro) nel lato LAN e WAN del router ExpressRoute. Questa configurazione garantisce l'isolamento end-to-end tra i due tenant. Prendere nota degli indirizzi IP usati nelle interfacce del router seguendo l'esempio di configurazione.

È possibile usare qualsiasi router che supporti VPN IKEv2 e BGP per terminare la connessione VPN da sito a sito dall'hub di Azure Stack. Lo stesso router viene usato per connettersi ad Azure usando un circuito ExpressRoute.

L'esempio di configurazione del router Cisco ASR 1000 Series Aggregation Services supporta l'infrastruttura di rete illustrata nel diagramma di configurazione del router ExpressRoute .

ip vrf Tenant 1
 description Routing Domain for PRIVATE peering to Azure for Tenant 1
 rd 1:1
!
ip vrf Tenant 2
 description Routing Domain for PRIVATE peering to Azure for Tenant 2
 rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
 integrity sha256
 group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
 integrity sha256
 group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
 match fvrf Tenant 2
 match address local 10.60.3.251
 proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
 match fvrf Tenant 2
 match address local 10.60.3.251
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
 mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
 mode tunnel
!
crypto ipsec profile V2-PROFILE
 set transform-set V2-TRANSFORM2
 set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
 set transform-set V4-TRANSFORM2
 set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
 ip vrf forwarding Tenant 1
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.211
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf Tenant 1
 tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
 ip vrf forwarding Tenant 2
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.213
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf VNET3
 tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
 description PRIMARY ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
 description PRIMARY ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
 description PRIMARY ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
 description BACKUP ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
 description BACKUP ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
 description Downlink to ---Port 1/47
 no ip address
!
interface TenGigabitEthernet0/1/0.211
 description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
 encapsulation dot1Q 211
 ip vrf forwarding Tenant 1
 ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
 description Downlink to --- Port 1/47.213
 encapsulation dot1Q 213
 ip vrf forwarding Tenant 2
 ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
 bgp router-id <removed>
 bgp log-neighbor-changes
 description BGP neighbor config and route advertisement for Tenant 1 VRF
 address-family ipv4 vrf Tenant 1
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.254 mask 255.255.255.254
  network 192.168.1.0 mask 255.255.255.252
  network 192.168.1.4 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65100
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.254 remote-as 4232570301
  neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.254 activate
  neighbor 10.60.3.254 route-map BLOCK-ALL out
  neighbor 192.168.1.2 remote-as 12076
  neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
  neighbor 192.168.1.2 ebgp-multihop 5
  neighbor 192.168.1.2 activate
  neighbor 192.168.1.2 soft-reconfiguration inbound
  neighbor 192.168.1.2 route-map Tenant 1-ONLY out
  neighbor 192.168.1.6 remote-as 12076
  neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
  neighbor 192.168.1.6 ebgp-multihop 5
  neighbor 192.168.1.6 activate
  neighbor 192.168.1.6 soft-reconfiguration inbound
  neighbor 192.168.1.6 route-map Tenant 1-ONLY out
  maximum-paths 8
 exit-address-family
 !
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.250 mask 255.255.255.254
  network 192.168.1.16 mask 255.255.255.252
  network 192.168.1.20 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65300
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.250 remote-as 4232570301
  neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.250 activate
  neighbor 10.60.3.250 route-map BLOCK-ALL out
  neighbor 192.168.1.18 remote-as 12076
  neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
  neighbor 192.168.1.18 ebgp-multihop 5
  neighbor 192.168.1.18 activate
  neighbor 192.168.1.18 soft-reconfiguration inbound
  neighbor 192.168.1.18 route-map VNET-ONLY out
  neighbor 192.168.1.22 remote-as 12076
  neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
  neighbor 192.168.1.22 ebgp-multihop 5
  neighbor 192.168.1.22 activate
  neighbor 192.168.1.22 soft-reconfiguration inbound
  neighbor 192.168.1.22 route-map VNET-ONLY out
  maximum-paths 8
 exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
 match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
 match as-path 1
!

Testare la connessione

Testare la connessione dopo aver stabilito la connessione da sito a sito e il circuito ExpressRoute.

Eseguire i test ping seguenti:

• Accedere a una delle macchine virtuali nella rete virtuale di Azure e eseguire il ping della macchina virtuale creata nell'hub di Azure Stack.
• Accedere a una delle macchine virtuali create nell'hub di Azure Stack e eseguire il ping della macchina virtuale creata nella rete virtuale di Azure.

Nota

Per assicurarsi di inviare il traffico attraverso le connessioni da sito a sito e ExpressRoute, è necessario eseguire il ping dell'indirizzo IP (DIP) dedicato della macchina virtuale sia alla fine che all'indirizzo VIP della macchina virtuale.

Consenti ICMP tramite il firewall

Per impostazione predefinita, Windows Server 2016 non consente pacchetti ICMP in ingresso tramite il firewall. Per ogni macchina virtuale usata per i test ping, è necessario consentire pacchetti ICMP in ingresso. Per creare una regola del firewall per ICMP, eseguire il cmdlet seguente in una finestra di PowerShell con privilegi elevati:

# Create ICMP firewall rule.
New-NetFirewallRule `
  -DisplayName "Allow ICMPv4-In" `
  -Protocol ICMPv4

Eseguire il ping della macchina virtuale dell'hub di Azure Stack

1. Accedere al portale utente dell'hub di Azure Stack.

2. Trovare la macchina virtuale creata e selezionarla.

3. Selezionare Connetti.

4. Da un prompt dei comandi di Windows o PowerShell con privilegi elevati immettere ipconfig /all. Si noti l'indirizzo IPv4 restituito nell'output.

5. Eseguire il ping dell'indirizzo IPv4 dalla macchina virtuale nella rete virtuale di Azure.

   Nell'ambiente di esempio l'indirizzo IPv4 proviene dalla subnet 10.1.1.x/24. Nell'ambiente l'indirizzo potrebbe essere diverso, ma deve trovarsi nella subnet creata per la subnet della rete virtuale tenant.

Visualizzare le statistiche di trasferimento dei dati

Se si vuole sapere quanto traffico passa attraverso la connessione, è possibile trovare queste informazioni nel portale utente dell'hub di Azure Stack. La visualizzazione delle statistiche di trasferimento dei dati è anche un buon modo per scoprire se i dati di test ping sono stati passati attraverso le connessioni VPN e ExpressRoute:

1. Accedere al portale utente dell'hub di Azure Stack e selezionare Tutte le risorse.
2. Passare al gruppo di risorse per il Gateway VPN e selezionare il tipo di oggetto Connection.
3. Selezionare la connessione ConnectToAzure dall'elenco.
4. InPanoramicadelle connessioni> è possibile visualizzare le statistiche per i dati in e i dati in uscita. Verranno visualizzati alcuni valori non zero.

Passaggi successivi

Distribuire app nell'hub di Azure e Azure Stack